[디지털데일리 이종현기자] 데이터3법(개인정보보호법·정보통신망법·신용정보법) 개정안이 지난 9일 국회 본회의에서 통과하면서 ‘데이터 경제’ 시대의 막이 올랐다. 그런데 이것으로 끝이 아니다. IT업계에선 이제 새로운 출발선에 섰다.
데이터3법은 특정 개인을 알아볼 수 없도록 비식별화한 ‘가명정보’를 개인 동의 없이 활용할 수 있도록 하는 것을 골자로 한다. 기존 개인정보보호에 집중하던 것에서 이제는 개인정보 활용으로 무게추가 옮겨진다. .
데이터3법이 국회 문턱을 넘은 만큼 다시 공은 정부로 돌아왔다. 정부는 데이터3법과 관련한 시행령을 만들어야 한다. 이렇게 만들어진 시행령을 바탕으로 주무 부처가 가이드라인을 만든다. 이것이 확정돼야한 '사실상의 기준'이 비로소 완성되는 것이다.
기존 ‘개인정보 비식별 조치 가이드라인’에서는 ▲사전검토 ▲비식별 조치 ▲적정성 평가 ▲사후 관리 등의 단계별 조치 기준을 제시했다.
이에 대해 보안업계 일각에선 “적정성 평가에서 ‘K-익명성’ 모델 사용을 의무화하는 기존 내용은 개선돼야 한다”고 주장했다. 수요자가 원하는 정보의 유형, 종류 등이 있는데 K-익명성을 일괄적으로 적용하는 것은 데이터 활용 강화 취지에 어긋난다는 것이다.
물론 이런 반론도 있다. K-익명성 모델이 국제적으로 널리 사용되고 있는 개인정보보호 모델이라며, K-익명성 모델의 비식별화가 지나치지 않은 수준이라는 주장이다
앞으로 이런 개인정보보호와 활용에 대한 논쟁은 더 치열해질 전망이다. 법이 통과됐다고 해서 무한정 활용성을 높일 수는 없기 때문이다.
실제로 지난 9일 저녁, 국회 통과를 앞두고 당시 김종대 의원(정의당)은 “기업이 상업적 목적으로 개인 동의 없이 수집·활용하고 제3자에게 제공할 수 있도록 한 것은 지나치다”며 “이번 개정안은 개인정보보호법의 기본적인 취지에 어긋나는 내용”이라며 개인정보보호법 개정안 반대 의견을 밝혔다.
또 추혜선 의원(정의당)도 신용정보법 반대 토론을 진행하며 “개인이 재식별될 가능성이 있는 정보의 활용을 허용하면서도 개인정보보호 감독 체계는 엉성하게 짜놓았다”며 “정보 주체의 자기 결정권 침해는 물론 빅데이터 산업의 경쟁력 약화를 불러올 것”이라고 신용정보법 개정안을 비판했다.
보안업계 관계자는 “데이터3법 통과에 반대하는 사람들의 의견에 일정 부분 공감한다”며 “개인정보보호와 개인정보 활용은 함께할 수 없는 개념이다. 어느 한쪽을 강화하면 반대쪽은 약해질 수밖에 없다”고 말했다.
이어서 그는 “데이터 활용으로 가닥을 잡았으니, 이제는 그 정도와 문제가 생길 때에 대한 대비책 마련의 시간”이라며 “정보 활용 과정에서 고의나 부주의로 인해 노출·유출·악용 등의 문제가 생길 경우 이에 대한 처벌을 강화하고, 유출된 정보에 대한 보상책을 마련하는 절차가 필요할 것으로 보인다”고 밝혔다.